Tous les forums
Mail CNO piratage et responsabilités
21/05/2022 à 12h06
Je reçois un mail du CNO expliquant que je suis susceptible d’avoir reçu un mail de phishing sur mon mail communiqué à l’ordre
Ce mail piraté à l’en tête du CNO
signé du nom de la secrétaire générale
Me demande en gros de confirmer mes coordonnées
L’Ordre me demande donc de faire plusieurs démarches
Déclarer à la CNIL une violation de données
Déclarer l’incident à la police
Modifier mon mot de passe d’accès au CNO
j’ai plusieurs remarques à faire
1/ JE n’ai pas été piraté
2/ l’Ordre a été piraté
3/ mon mail d’accès au CNO à possiblement été volé à l’Ordre pas à moi
4/ mon mot de passe serait donc stocké à l’Ordre et possiblement non crypté chez eux de manière à être possiblement volé
Et donc on ME demande de faire des démarches
Et pas un mot d’excuse de la part de l’Ordre dans le mail présentant des excuses pour une faille de sécurité
Et aucun détail sur la façon dont le CNO a pu se faire pirater et les contre mesures qu’ILS envisagent à l’avenir
Je crois que le poste informatique + téléphonie+ réseau sécurisé intranet qui coûte de mémoire 400 000 € / an pourrait faire l’objet d’une meilleure sécurité au final
--
==================
la csnd a voulu le "fromage" de la CCAM
la SECU a ajouté une tapette autour
21/05/2022 à 12h41
> mon mot de passe serait donc stocké à l’Ordre et possiblement non crypté<
N'importe quelle base de données , comme celle d'eugenol par exemple, possede une table des pseudos avec les mots de passe ceyptés en MD5 ou SHA2 140 bits. Ce qui fait que meme l'administrateur ne peut connaitre le mot de passe. Pas possible d'aller du crypté vers le pass en clair.En cas de perte, il est changé.
Ce qui a pu etre piraté, ce sont les mails du CN , qui contiennent helas, en depit de la loi, des mots de passe ern clair donnés par les dentistes.
UN MOT DE PASSE ne doit JAMAIS etre donné en mail, il DOIT se faire directement sur un site, avec une base de données homologuée CNIL.
21/05/2022 à 13h03
ils ont juste 80ke/an de facture de maintenance info... ;)
ca coute combien encore leur facture de téléphone ??
les mdp en clair dans la data base... 10/10
21/05/2022 à 13h36
Alors vous allez rire
Il y a 2 ans, je me suis ému de l’envoi par mon conseil départemental de l’envoi d’un mail à mon adresse enregistré chez eux
Contenant un lien direct vers le site ( possiblement contenant un accès SANS retaper le MdP )
Je leur ai donc fait remarquer et on m’a clairement repoussé en expliquant que si j’étais pas content je pouvais supprimer mon accès à l’ordre et me demmerder tout seul
Je me demande si je ne vais pas les contacter au national pour leur dire que ça leur pendait au nez et qu’ils feraient bien de se remettre un poil en question
--
==================
la csnd a voulu le "fromage" de la CCAM
la SECU a ajouté une tapette autour
21/05/2022 à 13h51
>es mdp en clair dans la data base... 10/10
<
Je repete, il n'y a PLUS depuis longtemps de base de données avec des pass en clair. Si c'etait le cas, une base tres tres ancienne (et encore...), le CN se ferait remonter les bretelles par la CNIL. Je n'y crois pas. Il faut chercher ailleurs (mails, fichiers excel pourris etc....)
21/05/2022 à 14h25
Pour en revenir a l'origine
"Je reçois un mail du CNO expliquant que je suis susceptible d’avoir reçu un mail de phishing sur mon mail communiqué à l’ordre"
Ceux et celles qui tiennent des serveurs connaissent cela, ca s'appelle un "abuse". La procedure normale est pour la victime de donner des preuves d'une intrusion par exemple par un serveur de mails infecté au provider , comme free ou orange. Ces derniers recoivent un 'abuse" et font remonter l'info a celui qui est infecté. En cas de non reponse a temps ET de phenomene' qui continue (d'autres abuses), le provider coupe la connexion internet jusqu'a resolution du probleme.